Tracking: W3C widerspricht Google-Plänen zu First-Party-Cookies

Browser-Hersteller Google arbeitet seit einigen Jahren daran, die Nutzung und das Tracking mit Hilfe sogenannter Third-Party-Cookies in Chrome deutlich einzuschränken. Ein bisher weniger betrachteter Teil dieser Arbeiten sieht aber auch vor, mehrere Seiten eines Betreibers zu einer Menge zusammenzufassen, die alle als First-Party interpretiert werden. So könnte ein Tracking eben dennoch über verschiedene Seiten hinweg umgesetzt werden. Eine technische Arbeitsgruppe des World Wide Web Consortiums (W3C) kritisiert diese Plänen nun aber in einer offiziellen Stellungnahme, wie das Magazin The Register berichtet.

Konkret handelt es sich bei dem Vorschlag Googles um die sogenannten First-Party-Sets. Die Idee dahinter ist recht einfach. So sollen etwa die Domains google.com und google.co.uk oder auch amazon.com und amazon.de technisch so behandelt werden, als stammen deren Informationen von der gleichen Seite. Das würde dann auch für Cookies gelten. Theoretisch ließen sich dann mit dieser neuen Art First-Party-Cookie Nutzer immer noch über verschiedene Seiten hinweg verfolgen, also etwa auf Youtube und der Google-Suche, da diese vom gleichen Betreiber stammen.

Eine strenge Auslegung des Blockierens von Third-Party-Cookies würde diese nicht mehr möglich machen. Die Betreiber könnten wahrscheinlich anhand weiterer in den Cookies gespeicherter Daten oder auch einheitlicher Logins die Daten der formal unterschiedlichen Webseiten dennoch weiter zusammenführen. Die First-Party-Sets würden dies aber technisch deutlich vereinfachen.

Als Hintergrund für diese Idee verweist Google auf bestehende beziehungsweise geplante Richtlinien der Browser-Hersteller zum Blockieren von Nutzer-Tracking. Alle großen Browser-Hersteller, also Apple, Google, Microsoft und Mozilla gehen hier bereits mehr oder weniger so vor, wie dies Google mit dem möglichen Standard der First-Party-Sets plant.

W3C gegen First-Party-Sets

Das W3C als weiter formal offizieller Hüter von Web-Standards entgegnet den Plänen von Google nun aber, dass sich trotz aller Veränderungen des Webs im vergangenen Jahrzehnt nichts grundsätzlich an der Definition sogenannter Origin-Domains geändert habe. Der Stellungnahme zufolge befürchtet das W3C vor allem, dass das First-Party-Set das Konzept einer Origin-Domain abschwächen könnte, ohne die gesamten Auswirkungen des Vorschlags zu überdenken.

Die Beteiligten befürchten zudem eine stärkere Fragmentierung des Webs, wenn einzelne Browser eigene und voneinander unabhängige First-Party-Sets verwendeten. Dies könnte noch mehr dazu führen, dass Web-Entwickler mit ihren Anwendungen nur auf einzelne Browser abzielen. Wie Betreiber darüber hinaus in die First-Party-Sets der Browser aufgenommen werden könnten, sei derzeit noch völlig unklar.

Zusammenfassend heißt es in der Stellungnahme des W3C: "Wir betrachten den Vorschlag für First Party Sets als schädlich für das Web in seiner aktuellen Form". Großen Widerspruch an dem konkreten Vorschlag der Standardisierung gebe es darüber hinaus von Mozilla und Apples Webkit-Projekt. Es sei außerdem wahrscheinlich, dass solch ein Vorschlag lediglich jenen großen Unternehmen nutze, die sowohl eine Browser-Implementierung als auch eigene große Services anbietet.